La vulnerabilidad CVE-2024-2386 ha sido descubierta en el plugin de Google Maps para WordPress – WP MAPS hasta la versión 4.6.1, la cual permite a atacantes autenticados con nivel de acceso de contribuidor o superior realizar inyección de SQL a través del parámetro ‘id’ del shortcode ‘put_wpgm’.
Esta vulnerabilidad se debe a la falta de escape del parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto puede permitir a atacantes autenticados agregar consultas SQL adicionales a las consultas existentes que pueden ser utilizadas para extraer información sensible de la base de datos. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible y realizar una revisión exhaustiva de la seguridad de su sitio web para detectar posibles inyecciones de SQL.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse contra posibles vulnerabilidades de seguridad. Además, se recomienda seguir buenas prácticas de seguridad, como limitar los privilegios de los usuarios y realizar auditorías periódicas de seguridad en el sitio para prevenir ataques de inyección de SQL.